Ordinea regulilor: Regulile sunt procesate intr-o anumita ordine. In help-ul fiecarui firewall se specifica ordinea. Cand o regula a fost aplicata, celelalte care urmeaza sunt ignorate.
Pachete si programe: Pot exista reguli pentru pachete si pentru aplicatii. Vezi exemplu de mai jos pentru Internet Explorer = regula pentru aplicatie.
O regula pentru pachete ar putea fi urmatoarea: Directie: inbound, incoming, sosire, intrare Actiune: blocheaza Remote port(s): any (orice) Local port(s): 445 Orice pachet destinat portului 445 este blocat.
Ephemeral Ports = 1024 pana la 5000 (local) Limitarea la aceste porturi este recomandata.
De exemplu o regula pentru Internet Explorer: Aplicatie: numai Internet Explorer Directie: outbound, outgoing, plecare Actiune: permite Remote port(s): 80 (HTTP) Local port(s): 1024 - 5000
Reguli
Reguli pentru ICMP (Internet Control Message Protocol)- ICMP Types
Se permit de obicei: 1. ICMP - type 8 - intrare (type 8 = Echo request = ping) - permite altcuiva sa ping calculatorul personal (nerecomandat, recomandat daca ping se limiteaza la o anumita adresa)
2. ICMP - types 0, 3, 11 - intrare (Echo reply, Host unreachable, TTL) - alt calculator raspunde la ping, un router spune ca nu gaseste o destinatie, timp expirat (recomandat)
3. ICMP - types 8 - plecare (Echo request) - pot sa ping un calculator (recomandat)
Aceste 3 reguli pentru ICMP sunt urmate de o regula care blocheaza toate mesajele ICMP.
Exemplu: 1. Permite unui anume calculator sa ping calculatorul meu Aplicatie: - Directie: inbound, incoming, sosire, intrare Protocol: ICMP Actiune: permite Serviciu local: type 8 Echo request Remote: oricare serviciu, aplicatie Remote address: IP XXX.XXX.XXX.XXX (recomandat)
2. Permite ca eu sa primesc raspuns la ping, un raspuns de la router sau un mesaj ca pachetul a expirat Aplicatie: - Directie: inbound, incoming, sosire, intrare Protocol: ICMP Actiune: permite Serviciu local: types 0, 3, 11 Echo reply, Host unreachable, TTL Remote: oricare serviciu, aplicatie Remote address: oricare
3. Permite ca eu sa ping alte calculatoare Aplicatie: - Directie: outbound, outgoing, plecare Protocol: ICMP Actiune: permite Serviciu local: type 8 Echo request Remote: oricare serviciu, aplicatie Remote address: oricare
4. Blocheaza orice ICMP in ambele directii (tot ce e permis se afla mai sus) Aplicatie: - Directie: outbound, outgoing, plecare si inbound, incoming, sosire, intrare Protocol: ICMP Actiune: blocheaza Serviciu local: orice tip Remote: oricare serviciu, aplicatie Remote address: oricare
Reguli pentru DNS - Port: 53 server (TCP, UDP), local 1024 - 5000 (TCP, UDP). How Domain Name Servers Work
De obicei se permite accesul la DNS-ul providerului de net si se blocheaza accesul la orice alt DNS. Vor exista deci doua reguli.
Aplicatie: oricare Directie: outbound, outgoing, plecare si inbound, incoming, sosire, intrare Protocol: UDP, TCP Actiune: permite Serviciu local: porturi 1024 - 5000 Remote: port 53 Remote address: IP XXX.XXX.XXX.XXX
Aplicatie: oricare Directie: outbound, outgoing, plecare si inbound, incoming, sosire, intrare Protocol: UDP, TCP Actiune: blocheaza Serviciu local: oricare port Remote: port 53 Remote address: oricare adresa
Reguli pentru aplicatii:
Internet Explorer sau orice browser
Aplicatie: Internet Explorer sau alt browser Directie: outbound, outgoing, plecare Protocol: TCP Actiune: permite Serviciu local: porturi 1024 - 5000 Remote: porturi: 80, 88, 443, 1080, 8080 Remote address: oricare
Reguli pentru Outlook, Outlook Express sau orice program de email
Aplicatie: programul de email Directie: outbound, outgoing, plecare Protocol: TCP Actiune: permite Serviciu local: porturi 1024 - 5000 Remote: porturi: 110 (POP3) Remote address: IP XXX.XXX.XXX.XXX
Aplicatie: programul de email Directie: outbound, outgoing, plecare Protocol: TCP Actiune: permite Serviciu local: porturi 1024 - 5000 Remote: porturi: 25 (SMTP) Remote address: IP XXX.XXX.XXX.XXX
Pentru a bloca accesul programului de email la HTTP Aplicatie: programul de email Directie: outbound, outgoing, plecare Protocol: TCP Actiune: blocheaza Serviciu local: oricare Remote: porturi: 80, 88, 1080, 8080 (sau oricare) Remote address: oricare
ZoneAlarm
In afara de cele scrise mai sus, pentru a va merge download-ul de pe un HUB, trebuie facute urmatoarele modificari: - Intrati in Zone Alarm la sectiunea "Firewall" - De la "Internet Zone Security" apasati butonul "Custom" - In fereastra nou deschisa cautati: "Allow incoming/outgoing TCP/UDP ports" (atentie sunt 4 intrari distincte !) - Acolo, la fiecare din aceste intari, introduceti un port (ex. 1412 este default pt dc++) - Confirmati cu "Apply" , "Ok" si inchideti firewall-ul.
